暗号通貨の下落が続いている中で、マイニングの脅威は続くか
エグゼクティブ サマリー
2018 年はひとつのテクノロジーが際立った年でした。それは暗号通貨です。暗号通貨は 2017 年の終わりにかけて彗星のごとく登場し、2018 年には大きな脚光を浴びました。それ以来、暗号通貨は世界的に、特にサイバー脅威に大きな影響を与えてきました。ただし、2018 年は暗号通貨にとって厄年でした。下落し続けた後に急落したことで、2017 年終盤から 2018 年初頭にかけての最高値ベースで 75% 以上も価値を失ったのです。
不正マイニングは、継続的な収益を得る新しいペイロードとして、攻撃者の間で注目を浴びました。その収益性のため、あれだけ猛威を振るったランサムウェアでさえサイバー脅威の首位を譲ったのです。
しかし暗号通貨が急落したことを受けて、今後のサイバー脅威への影響が懸念されています。ただし、そうした懸念とは裏腹に、収益獲得手段が不正マイニングから他の方法に移行している兆候は Cisco Talos の把握する限り表れていません。一定の動きはありましたが、不正マイニング攻撃が、マルウエアの配布とボットネットを中心とする電子メールを中心に展開されているのは現在も同じです。ただし 2018 年における電子メール攻撃のペイロードは、不正マイニングから離れ、モジュール型の脅威(Emotet やリモート アクセス可能なトロイの木馬(RAT))へと移行し始めました。Talos では本日もう 1 件のブログ記事を公開しています。そちらの記事では、不正マイニングでよく知られた攻撃者による最近のキャンペーンについて概説しています。
不正マイニングの件数に関して言えば、実世界の影響や関連データを見る限り減少しておらず、むしろ一部の例では攻撃頻度が若干増加してさえいます。2019 年はペイロードがさらに多様化すると考えられますが、不正マイニングが現時点で脅威であることに変わりはありません。不正マイニングや無許可のマイニングに組織として備えるのは不可欠です。
はじめに
サイバー脅威について振り返ると、2018 年は不正マイニングの年だったと断言できます。Cisco Talos では、不正マイニングを 2018 年初頭
に初めて取り上げて以来、複数回にわたって記事で警告してきました。そうした記事には、脅威の内容とカバレッジについて説明したホワイトペーパーも含まれます。不正マイニングでは、攻撃者がシステムにマルウェアを感染させ、システムの処理能力を盗んで暗号通貨を「マイニング」します。不正マイニングが大規模に実行されると、企業は多大な電力やリソースを奪われる危険性があります。個人ユーザであれば、処理能力と速度が大幅に低下する可能性があります。
2018 年初頭のペイロードは Monero ベースの不正なマイニング プログラムが中心でした。しかしそれ以来、サイバー脅威において前例がないほどの大きな変遷を目撃してきました。2016 年と 2017 年は(賭け要素の強い)ランサムウェアが猛威を振るった一方で、2018 年になると、継続的な収益を得られる不正マイニングへと一気に移り変わったのです。ランサムウェアの攻撃では、被害者の情報を取り戻す「身代金」が要求されます。しかし不正マイニングでは、攻撃者が日常的に収益を得られます。
ただし、この収益獲得手段にもリスクが伴います。とりわけ大きいリスクは、マイニングされる通貨の価値変動です。不正マイニングに関する最初の記事を執筆した時点では、不正マイニングにより一般的な家庭用 PC で1台/1 日あたり約 0.25 ドルの収益が期待できました。しかし現時点で、その金額は 0.04 ドルまで落ち込んだのです。もちろん攻撃者の収益にも影響が出ています。以前は 1 台の PC で得られた収益に、今やほぼ 6 台が必要なのです。その影響について解説する前に、2018 年のサイバー脅威における不正マイニングの規模と範囲についてご説明します。最も興味深い側面のひとつは、スパムや Web 攻撃、脆弱性のエクスプロイトなどの多様な攻撃で変遷が起きたことです。
スパムや不正マイニングの影響
サイバー脅威全体における特定脅威の影響を最もよく示す指標のひとつは、スパムの量です。日常的に観察されるスパムの大半はボットネットから生成されています。攻撃者に収益を生み出すのは、これらのボットネットです。2018 年に変遷が観察されたのは、まさにこの分野でした。下のグラフにあるように、スパムの全体量は、2018 年初頭に発生した 2 件の大規模なキャンペーンを除いて減少しています。
2017 年末から 2018 年初頭にかけて、スパムの発生量は低下しました。それ以降は上昇し、2017 年の平均的なレベルに近づいています。これはボットネットの用途の移行を示しています。以前はスパムの送信に使用されていたボットネットの一部が、不正マイニングの実行に割り振られている可能性を示しています。実際、過去 1 年間を通じて、「Necurs」などのボットネットが、スパム生成ではなく不正マイニングに使用されているという報告が寄せられてきました。ただし、こうしたスパムの状況は 2 つの異なるグループの存在を浮き彫りにしています。ひとつのグループは、ボットネットを制御してスパムを送信する攻撃者で、もうひとつのグループはスパムによりマルウェアを拡散する攻撃者です。
スパムでマルウェアを拡散する攻撃者は、不正マイニングに使用されるボットネットの数を左右する要因です。2018 年初旬は、不正なマイニング プログラムを直接(またはダウンローダを使用して)拡散させるキャンペーンがほぼ日常的に観察されました。しかしその後に暗号通貨の価値が下落し始めると、攻撃手口の分散が確認されたのです。
不正なマイニング プログラムの減少に伴って台頭したマルウエアのひとつが「Emotet」です。Emotet のキャンペーンでは毎回、大規模な感染が確認されています。Emotet の高い感染力は今も衰えておらず、そのモジュール型ペイロードには今やランサムウェアも含まれています。モジュール型のランサムウェアには多様なペイロードを組み込める上、最終的なペイロードを外的要因によりコントロールできるため、今後も拡大を続けるでしょう。スパムの現状を見ると、不正なマイニング プログラムの配布キャンペーンを定期的に確認できますが、2018 年初頭に比べて大幅に減っています。今の主流は不正なマイニング プログラムではなく、RAT や Emotet のようなモジュール型マルウエアです。電子メールで拡散するサイバー脅威だけで見れば、不正なマイニング プログラムは 2018 年に大きな比重を占めていましたが、サイバー脅威全体で見ればごく一部にすぎません。次に、Web ベースの攻撃について考えてみましょう。
Web ベースの攻撃
Web ベースの攻撃は世界中で今も大流行しています。過去数年は、ランサムウェアといった脅威の配布にエクスプロイト キットとマルバタイジング キャンペーンが使用されてきました。しかし 2016 年末以降、エクスプロイト キットを利用した攻撃は世界的に著しく減少しています。エクスプロイト キットを利用したキャンペーンでは従来、マルウエアが使用されてきましたが、今では(不正なマイニング プログラムの配布目的で)一般にダウンローダが使用されています。不正なマイニング プログラムを配布する目的では、エクスプロイト キットやマルバタイジングに加え、Flash Player の更新プログラムを装ったマルウエアも多用されてきました。この手の攻撃では、Adobe Flash Player のバージョン更新が促されます。ただしクリックするとペイロードがダウンロードされてシステムが感染し、不正マイニングが実行されます。
同様に、CoinHive?といった、ブラウザ内で動作する暗号通貨マイニング プログラムも多く発見されています。この手のマイニング プログラムは Web ページにマイニング スクリプトを組み込むことで、サイトの訪問者にマイニングをさせます。暗号通貨マイニングが 2018 年に大きく注目されたことで、開発者に対する報酬代わりに(ユーザのシステムを利用した)マイニングを許可するよう求める有料アプリケーションすら登場しました。こうした一連の事実を踏まえれば、攻撃者にとって不正マイニングが見逃せない大きなチャンスであったのも当然です。不正マイニングでは発生するトラフィックがごくわずかです。ブラウザ内で動作するマイニング プログラムや、マイニングを対価に求める有料アプリケーションに関して言えば、狙う利益は「少額でも稼げれば良い」程度です。ただし、稼げるチャンスがある限り、不正なマイニング プログラムや無許可の暗号通貨マイニングが消えることはないでしょう。ここまでは、Web や電子メールを介した攻撃についてご説明しました。次は、攻撃者による直接的な攻撃、つまり脆弱性のエクスプロイトについて取りあげます。
脆弱性のエクスプロイト
不正マイニングの特徴のひとつは、感染したシステムから得られる収益がシステムの性能と直結していることです。攻撃者が不正マイニングを検討し、実際に実行に移す様子は過去 1 年以上にわたって観察されてきました。不正マイニングにおいて脆弱性のエクスプロイトが与える影響の大きさは、数多くの実例から見て取れます。
Apache Struts から、Eternal Blue、Oracle WebLogic、そしてリモートでエクスプロイト可能なバグに至るまで、攻撃者は不正マイニングのためにあらゆる脆弱性を突いてきました。多数の PC にできるだけ早く感染させるよう、自己複製により他のマシンに感染するワーム機能が追加されたケースもあります。他にも、処理能力(つまり収益性)の高さから、不正マイニングではサーバが主な標的となってきました。サーバを狙った攻撃は、暗号通貨の価格の変動にもかかわらず衰えていません。暗号通貨の価格が下落しようと、不正マイニングが利益を生み出すという事実は変わりません。また、新たなペイロードを生み出すのには時間や労力が必要なため、攻撃者がペイロードをすぐに切り替えることもありません。そのため、不正マイニングで世界的に大きな変遷があれば、必然的に目立つことになります。不正マイニングはサイバー脅威の各分野で何らかの影響を与えてきましたが、企業にとって最大の懸念は実際の影響です。
過去 1 年間における不正マイニング、特に脆弱性のエクスプロイトによるキャンペーンに焦点を当てた解説については、こちらのブログ記事をご覧ください。
実際の影響
私たちにとって最も重要なのは、サイバー脅威の実際の影響です。本稿では、主にエンドポイントとネットワークからデータを得ています。2018 年の主なサイバー脅威が不正マイニングであったことは疑問の余地がありません。事実、同年に Talos が受け取った脅威アラートは、不正マイニング関連(不正なマイニング プログラムの受信や感染)が相当数を占めていました。さらに問題なのは、その数が未だに減少していないことです。
当初の印象では、ここ数か月で不正マイニングの全体件数が減少していると考えるのは当然です。しかし実際は異なっていました。不正マイニングのアクティビティはわずかに減少していますが、それらはサイバー脅威のいくつかの領域に細分化しているのです。最も大きく減少したのはスパム メールの数です。2018 年初旬には、不正なマイニング プログラムを休まず配布し続けるキャンペーンが観察されました。しかし 2018 年下旬には、そうしたキャンペーンが姿を消し、代わりに RAT や Emotet などの脅威が台頭しました。
上のグラフが示すように、過去 6 ヵ月間で週ごとのキャンペーン発生数こそ変動していますが、全体的な傾向は一定で、2018 年 6 月から大きく変化していません。
全体的な傾向を掘り下げるため、まずはネットワークベースの検出数(下のグラフ)を見てみましょう。ここでは特に(配信数や感染件数ではなく)エンドポイントにおける検出数に着目します。エンドポイントにおける検出数は、実際の不正マイニング アクティビティを配信数よりも正確に反映しています。トレンド ラインは 6 月から若干の増加傾向にあります。エンドポイントでの検出数に対して、不正なマイニング プログラムの感染件数は(特に電子メール キャンペーンで)少なくなります。ただし実際に放たれている不正なマイニング プログラムの数は変わっていません。これは、不正マイニング攻撃の収束には長期間を要すること、そして不正マイニングでは脆弱性のエクスプロイト、ブルート フォース攻撃や Web ベースの攻撃が多用されていることを示唆しています。
全体的に見ればエンドポイントでの検出数は一定ですが、日単位では大きく変動しています。その理由として考えられるのは、不定期に起こるシステムのシャットダウンや感染のクリーンアップです。いずれにせよ、暗号通貨の価格が急落した 2018 年 11 月を含め、不正マイニング攻撃の発生数に減少傾向は確認できません。
暗号通貨の急落
不正マイニング攻撃の発生件数が変化するとすれば、その原因は暗号通貨の価値変動にあるはずです。事実、2017 年の終わりには暗号通貨の価格が、わずか 6 ヵ月前には考えられなかったレベルに急上昇しました。暗号通貨の価格が上昇し続けたことで、攻撃者の関心も集中したのです。数十万円で購入した暗号通貨が、数年間で数億円規模に膨れ上がったというニュースも多く見られました。暗号通貨の価格上昇はランサムウェアの増加も引き起こしました。ランサムウェアの支払い手段は暗号通貨だからです。
暗号通貨の上昇で恩恵を受けたのは、早期の購入者だけに限られません。企業だけでなく、攻撃者も同様に利益を得たのです。ランサムウェアの身代金としてビットコインを受け取った攻撃者は、急上昇によりその価値を数十倍にも増やしたのです。ただし、華々しい急上昇の影には噂や懐疑的な見方もありました。
それを裏付けるかのように、過去 6 ヵ月で暗号通貨の価値は下がり始め、先月 1 ヵ月間に急落したのです。現時点で、大半の仮想通貨は最高値から少なくとも 75% は下落しています。後から参入した投資家や攻撃者には、損失も発生しています。
2017 年下旬に約 20,000 ドルの最高値を記録したビットコインは、それ以来一貫して下落し 4,000 ドルを切りました。2017 年 12 月のピーク時と比べて 75% の下落です。
ビットコインよりは金額が低いものの、Monero も同じ道をたどっています。Monero は 2018 年初旬に 470 ドルを超える最高値を付けて以来、年間を通じて下落しました。価格は今や 55 ドルを下回っています。現時点のレートでは、わずか 1 年未満に 86% の価値を失った計算になります。
年間を通じて下落した仮想通貨ですが、とりわけ 12 月の下落幅は衝撃的でした。急落したのはビットコインや Monero でも同様で、その影響は計り知れません。先月のビットコインの下落幅は 40% という記録的な数字でしたが、それを上回ったのが Monero(下落幅 50%)でした。
ただし急落したとは言え、暗号通貨が廃止されることはなく、サイバー攻撃における利益獲得手段や支払手段として長く使われ続けるでしょう。ランサムウェアなどで暗号通貨を要求する攻撃者にとって、急落による影響は軽微です。価値の低下を埋め合わせるために、要求するコインの量を増やせばいいのです。
マイニングの将来
こうした事実は、マイニングの将来へどのような影響を与えるのでしょうか?
正確な答えは誰にもわかりませんが、推測することはできます。不正マイニングはサイバー脅威で大きな比重を占めていますが、今後もそれは変わらないでしょう。問題は、「不正マイニングがどこで起きるか」です。攻撃手段を変えるのに必要なツールや労力は、脆弱性のエクスプロイトやブルート フォース攻撃を展開している攻撃者と、不正マイニング、RAT やバンキング型トロイの木馬などで一般ユーザを狙う攻撃者との間で大きく異なります。そのため、想定される将来も前者と後者との間で大きく異なります。
脆弱性のエクスプロイトやブルート フォース攻撃に比重を置く攻撃者は不正マイニングに多大な労力を費やしてきました。他の追加要因がない限り、こうした攻撃者が利益獲得手段を不正マイニングから他の手段に移すことはないでしょう。分散型サービス妨害やスパム ボットネットなどから不正マイニングに移るには時間と労力が必要で、多くの攻撃者は実際にそうした時間と労力を費やしてきたのです。そのため、暗号通貨の価値が下落しても不正マイニングを諦めることはないのです。
また、リスクや確実性の問題もあります。コマンド アンド コントロール(C & C)や被害者との継続的なやり取りが必要になるランサムウェア攻撃と比べ、不正マイニング攻撃はセキュリティ チームや警察の注意を引く可能性が圧倒的に低いと言えます。また、不正マイニングによる(システム 1 台あたりの)収益は限られていますが、比較的安定しています。たとえ少額であれ、大規模に展開して全リソースを不正マイニングに利用すれば無視できない金額になります。
結論
2018 年にサイバー脅威で大きな比重を占めていた不正マイニングは、2019 年以降も大きな脅威であり続けるでしょう。暗号通貨の価値が最近急落したとは言え、利益を生み出せる現状は変わらないでしょう。もちろん、スパム攻撃の発生件数からもわかるように、暗号通貨の急落が影響を与えていないわけではありません。
データを分析する限り、過去 6 ヵ月間における不正マイニングの攻撃件数は変動していません。今後 6 ヵ月間に大きく変動する可能性はありますが、今のところデータに表れていません。マイニングの将来は、時間が経てばわかることです。将来的には、より魅力的な収益獲得手段に移る可能性があります。ただし現状では、最小限のリスクで安定した収益を生み、侵入したシステムにリモートでアクセスする必要がない収益獲得手段は限られています。不正マイニングからの移行が進まない最大の理由は、おそらく不正マイニングの安定した収益性です。そして容易に収益を得られる手軽さもあります。
本当の問題は、「次の脅威は何か」ということです。組織が今すぐ準備すべき脅威は何でしょうか。攻撃者の利益獲得手段は常に進化しているため、今後は柔軟性のあるモジュール型マルウエアが主流になるでしょう。金銭目的の攻撃者は、エンド システムを侵害して利益を生み出すチャンスを常に狙っています。その一例が現在主流のダウンローダです。不正マイニングで理想的な侵害先はゲーミング PC やハイエンド サーバです。しかし、たとえば米国内の高性能 PC に侵害した場合は(攻撃者にとっての収益性の面で)最適なのがランサムウェアであったり、企業システムに侵害した場合は内部情報の販売が最適であったりする可能性もあります。また、発展途上国で平均的な PC を侵害した場合は、シンプルなボットが最適かもしれません。ボットにより攻撃を広範囲に拡散できるほか、他のシステムに対する攻撃で匿名性を確保できるからです。
このように、攻撃者は侵害先に応じてペイロードを狡猾に選ぶのです。システムが高速化し、侵害したシステムから収益を得られる方法が増えているため、モジュール型マルウェアが攻撃で使われるケースが増えています。
Tags:本稿は 2018年12月18日に Talos Group
